Adobe schließt kritische Lücken in AIR
Das Update 1.5 beseitigt eine Lücke in der JavaScript-Verarbeitung und schließt mehrere Löcher in den Flash-Player-Komponenten.
- Daniel Bachfeld
Adobe hat das Sicherheitsupdate 1.5 für AIR (Adobe Integrated Runtime) veröffentlicht, das eine Sicherheitslücke beheben soll. AIR ist eine betriebssystemunabhängige Laufzeitumgebung, in der sich auch lokale Anwendungen mit Webtechniken entwickeln lassen. Durch die Lücke ist es laut Hersteller möglich, dass JavaScript mit höheren als den eigentlich erlaubten Rechten läuft. Dazu muss die auf AIR aufsetzende Anwendung jedoch Daten aus einer nicht vertrauenswürdigen Quelle laden.
Das AIR-Update enthält auch eine Aktualisierung für die Flash-Player-Komponenten, für die kürzlich Bugfixes für die Einzel-Versionen 9 und 10 erschienen sind. In diesem Zuge hat Adobe nun noch Informationen über weitere Sicherheitslücken nachgereicht, die bis dato nicht bekannt waren, mit den veröffentlichten Updates aber bereits behoben sind. Zwar nennt Adobe keine Details, die Lücken sollen sich aber im Flash Player ausnutzen lassen, um einen Rechner aus der Ferne mit Schadcode zu infizieren. Dazu genügt laut Bericht der Besuch einer Webseite oder das Öffnen einer E-Mail.
Aus diesem Grund stuft Adobe das Update für AIR als kritisch ein. Anwender sollten nicht zögern, die neue Version zu installieren.
Siehe dazu:
- IR update available to address security vulnerabilities, Bericht von Adobe
- Additional disclosure of security vulnerabilities fixed in Flash Player 10.0.12.36 and Flash Player 9.0.151.0, Bericht von Adobe
- Adobe Air im heise Software-Verzeichnis
- Adobe Flash Player im heise Software-Verzeichnis
(dab)
